Le service de messagerie chiffrée Signal a annoncé cette semaine avoir été indirectement victime d'une attaque par phishing qui a exposé un peu moins de 2 000 de ses utilisateurs.
Signal a beau être l'un des services de messagerie instantanée les plus sûrs du marché, il n'est pas à l'abri d'une attaque chez l'un de ses collaborateurs. C'est ce qu'il s'est passé il y a quelques jours avec une attaque par phishing ayant visé Twilio, son fournisseur de services de vérification.
Signal attaqué indirectement
Officialisée le 8 août dernier par Twilio, spécialisé dans l'identification à deux facteurs, cette attaque a exposé les numéros de téléphone de près de 1 900 utilisateurs de Signal, enregistrés dans un unique compte Signal compromis. En l'occurrence, l'attaquant aurait pour ce faire réussi à accéder à la console de support client de Twilio par un simple hameçonnage.
Comme le précise Neowin, l'enquête conduite par le fournisseur a révélé que sur ces 1 900 numéros exposés, l'auteur de l'attaque a explicitement recherché trois d'entre eux. L'utilisateur derrière l'un de ces trois numéros avait néanmoins déjà signalé l'incident à Signal, lit-on.
Environ 1 900 utilisateurs touchés
On apprend quoi qu'il en soit que Twilio a fait le nécessaire pour mettre un terme à l'attaque, tandis que Signal a pour sa part commencé à avertir les détenteurs des 1 900 comptes potentiellement touchés. Le service s'est également retiré des appareils concernés pour limiter les risques.
Les risques sont relativement circonscrits. En effet, l'attaquant n'a pas eu accès à l'historique des messages, souligne Neowin, pas plus qu'aux informations de profil ou aux listes de contacts des utilisateurs. Toutes ces données sont stockées localement sur l'appareil de l'utilisateur sans qu'aucune copie ne soit conservée sur les serveurs de Signal.
Source : Neowin
